Используя существующий домен AD (company.net), нам нужно добавить дочерний домен (untrusted.company.net) с односторонним доверием. Тестирование в моей лаборатории и выполненный мной поиск в Google, кажется, предполагают, что этого невозможно добиться, поскольку при создании дочернего домена устанавливается неизменяемое двустороннее доверие по умолчанию.
Кто-нибудь знает, как достичь этой цели?
Я знаю, что могу создать отдельный лес, но мой босс отказался от этого. Руководство моей компании (бу ... шипит ...) требует, чтобы это был настоящий дочерний домен.
Подробности: Существующий домен и лес находятся на функциональном уровне 2008 года на устройствах 2008 r2 SP1. Дочерний домен будет на 2008 R2 SP1 и начнет работать на функциональном уровне 2008 года.
Доверительные отношения между лесами по определению невозможны, если домены не находятся в разных лесах.
Вам нужно будет приятно поговорить с менеджером, который звонит, и объяснить, что, к сожалению, эти два требования конфликтуют.
Дочерний домен имеет встроенное двустороннее транзитивное доверие. Вы не можете изменить это поведение. Если вам нужна граница безопасности, вам нужны отдельные леса.
Отдельные домены создают границы управления. Отдельные леса создают границы безопасности.